Planen von Sicherheitsstandards

  • 2 Minuten

Die Aufrechterhaltung der Sicherheit kann sich angesichts der zunehmenden Verbreitung gängiger identitätsbezogener Angriffe wie Kennwortspray, Replay und Phishing als schwierig erweisen. Sicherheitsstandards bieten sichere Standardeinstellungen, die von Microsoft im Auftrag von Organisationen verwaltet werden, um die Sicherheit von Kunden zu gewährleisten, bis Organisationen zum Verwalten der eigenen Identitätssicherheit bereit sind. Sicherheitsstandards enthalten vorkonfigurierte Sicherheitseinstellungen wie beispielsweise die folgenden:

  • Alle Benutzer müssen sich für die Multifaktor-Authentifizierung registrieren.

  • Festlegen, dass Administratoren mehrstufige Authentifizierung durchführen müssen.

  • Blockieren älterer Authentifizierungsprotokolle.

  • Festlegen, dass Benutzer bei Bedarf mehrstufige Authentifizierung durchführen müssen.

  • Schützen von privilegierten Aktivitäten wie dem Zugriff auf das Azure-Portal.

    Screenshot des Microsoft Entra Admin Centers mit der Umschaltfläche zum Aktivieren von Sicherheitsstandards.

Verfügbarkeit

Microsoft-Sicherheitsstandards stehen jedem zur Verfügung. Das Ziel ist sicherzustellen, dass in allen Organisationen eine Standardsicherheitsebene ohne zusätzliche Kosten aktiviert ist. Wenn Ihr Mandant am oder nach dem 22. Oktober 2019 erstellt wurde, sind möglicherweise bereits Sicherheitsstandardeinstellungen aktiviert. Um alle Benutzer zu schützen, werden die Sicherheitsstandards bei der Erstellung für alle neuen Mandanten aktiviert.

Um Sicherheitsstandardwerte zu aktivieren oder zu deaktivieren, melden Sie sich mindestens als Administrator für bedingten Zugriff beim Microsoft Entra Admin Center an, navigieren Sie dann zu denEigenschaften der >>, und wählen Sie "Sicherheitsstandardeinstellungen verwalten" aus.

Für wen eignet sich diese Funktion?

Wer sollte Sicherheitsvorgaben verwenden? Wer sollte Sicherheitsvorgaben nicht verwenden?
Organisationen, die ihren Sicherheitsstatus erhöhen möchten, aber nicht wissen, wie oder wo sie beginnen sollen Organisationen, die derzeit Richtlinien für bedingten Zugriff verwendet, um Signale zusammenzustellen, Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen
Organisationen, die die kostenlose Stufe der Microsoft Entra ID-Lizenzierung verwenden Organisation mit Microsoft Entra ID Premium-Lizenzen
Organisationen mit komplexen Sicherheitsanforderungen, die den Einsatz von bedingtem Zugriff rechtfertigen

Erzwungene Richtlinien

Einheitliche Registrierung für die mehrstufige Authentifizierung

Alle Benutzer in Ihrem Mandanten müssen sich mit der Microsoft Authenticator-App für die mehrstufige Authentifizierung (Multifactor Authentication, MFA) registrieren. Die Registrierung ist sofort erforderlich – es gibt keine Nachfrist. Wenn sich Benutzer nach aktivierten Sicherheitsstandardeinstellungen anmelden, werden sie aufgefordert, sich zu registrieren, bevor sie auf ressourcen zugreifen können. Die MFA-Eingabeaufforderung verwendet Nummernvergleiche, bei denen Benutzer eine Auf dem Bildschirm angezeigte Nummer in die Microsoft Authenticator-App eingeben, wodurch MFA-Ermüdungsangriffe verhindert werden.

Administratoren schützen

Benutzer mit privilegiertem Zugriff erhöhen häufig den Zugriff auf Ihre Umgebung. Aufgrund der weitreichenden Befugnisse, die diese Konten haben, sollten Sie sie mit Bedacht verwalten. Eine gängige Methode zur Verbesserung des Schutzes von privilegierten Konten ist eine strengere Form der Kontoüberprüfung für die Anmeldung. In Microsoft Entra ID können Sie eine striktere Kontoüberprüfung erreichen, indem Sie die Multi-Faktor-Authentifizierung verlangen.

Nachdem die Registrierung mit mehrstufiger Authentifizierung abgeschlossen ist, müssen die folgenden Microsoft Entra-Administratorrollen bei jeder Anmeldung andere Authentifizierungen ausführen:

  • Globaler Administrator
  • Anwendungsadministrator
  • Authentifizierungsadministrator
  • Authentifizierungsrichtlinienadministrator
  • Abrechnungsadministrator
  • Cloudanwendungsadministrator
  • Administrator für den bedingten Zugriff
  • Exchange-Administrator
  • Helpdesk-Administrator
  • Identitätsverwaltung-Administrator
  • Kennwortadministrator
  • Privilegierter Authentifizierungsadministrator
  • Administrator für privilegierte Rollen
  • Sicherheitsadministrator
  • SharePoint-Administrator
  • Benutzeradministrator

Schützen aller Benutzer

Wir gehen häufig davon aus, dass nur Administratorkonten durch eine mehrstufige Authentifizierung geschützt werden müssen. Administratoren haben umfassenden Zugriff auf vertrauliche Informationen und können Änderungen an abonnementweiten Einstellungen vornehmen. Angriffe richten sich jedoch häufig gegen Endbenutzer.

Nachdem die Angreifer Zugang erhalten haben, können sie im Namen des ursprünglichen Kontoinhabers Zugriff auf privilegierten Informationen anfordern. Sie können sogar das gesamte Verzeichnis herunterladen, um einen Phishing-Angriff auf Ihr gesamtes Unternehmen durchzuführen.

Eine gängige Methode zur Verbesserung des Schutzes für alle Benutzer besteht in einer strengeren Kontoüberprüfung, beispielsweise durch eine mehrstufige Authentifizierung (MFA). Nachdem Benutzer die Registrierung der mehrstufigen Authentifizierung abgeschlossen haben, werden sie bei Bedarf zur zusätzlichen Authentifizierung aufgefordert. Diese Funktion schützt alle Anwendungen, die bei Microsoft Entra ID registriert sind (einschließlich SaaS-Anwendungen).

Blockieren der Legacy-Authentifizierung

Um Ihren Benutzern einfachen Zugriff auf Ihre Cloud-Apps zu ermöglichen, unterstützt die Microsoft Entra-ID verschiedene Authentifizierungsprotokolle, einschließlich der Legacyauthentifizierung. Die Legacyauthentifizierung ist eine Authentifizierungsanforderung von:

  • Clients, die keine moderne Authentifizierung verwenden (z. B. ein Office 2010-Client) Die moderne Authentifizierung umfasst Clients, die Protokolle implementieren (z. B. OAuth 2.0), um Features wie die mehrstufige Authentifizierung und Smartcards zu unterstützen. Die Legacyauthentifizierung unterstützt in der Regel nur weniger sichere Mechanismen, z. B. Kennwörter.
  • Client, der E-Mail-Protokolle wie IMAP, SMTP oder POP3 verwendet.

Heute erfolgen die meisten kompromittierenden Anmeldeversuche über ältere Authentifizierungsmethoden. Bei älteren Authentifizierungsmethoden wird keine Multi-Faktor-Authentifizierung unterstützt. Selbst wenn Sie in Ihrem Verzeichnis eine MFA-Richtlinie aktiviert haben, kann sich ein Angreifer mit einem älteren Protokoll authentifizieren und die mehrstufige Authentifizierung umgehen.

Nach Aktivierung der Sicherheitsstandards in Ihrem Mandanten werden alle Authentifizierungsanforderungen, die von einem älteren Protokoll stammen, blockiert. Durch die Sicherheitsstandards ist die Standardauthentifizierung für Exchange Active Sync blockiert.